Opcode와 Windows API를 사용한 멀웨어 탐지

• Published in: The journal of the institute of internet, broadcasting and communication : JIIBC Vol. 17; no. 6; pp. 11 - 17
• Main Authors: 안태현, 오상진, 권영만
• Format: Journal Article
• Language: English; Korean
• Published: 한국인터넷방송통신학회 31.12.2017
• Subjects: 컴퓨터학; Windows API Calls; Opcode; Bernoulli Naïve Bayes; K-Nearest Neighbor; Malware; Machine Learning; PE File Format; Bernoulli Naive Bayes
• ISSN: 2289-0238; 2289-0246
• DOI: 10.7236/JIIBC.2017.17.6.11

본 논문에서는 멀웨어 탐지 방법으로 Opcode (operation code)와 실행 파일에서 추출한 Windows API Call 로 구성된 특징 벡터를 사용하는 방법을 제안한다. 먼저 PE 파일에서 추출한 opcode와 windows API로 특징 벡터를구성하고 Bernoulli Naïve Bayes과 K-Nearest Neighbor 분류기 알고리즘을 사용하여 성능을 각각 측정하였다. 실험결과, 제안한 방법과 KNN 분류기를 사용하여 분류하면 95.21%의 멀웨어 탐지 정확도를 얻을 수 있었다. 결과적으로기존의 Opcode 또는 Windows API 호출 중 하나만 사용하는 방법보다 제안한 방법이 멀웨어 탐지 정확도에서 높은성능을 보인다.